服务介绍
什么是防火墙
防火墙是系统中提供网络安全防护的云服务,为经典网络中的子网或虚拟专有云提供流量控制。用户可在防火墙中创建防火墙规则,对于匹配规则的流量将按照指定动作进行放行、拦截或探测。系统中的防火墙服务需要依托于SDN控制器(如VCFC)实现,支持黑白名单(即允许和拒绝策略),提供强大的防病毒、防入侵检测功能,实现云内网络与云外网络间、云内不同网络间的精确流量控制。用户可同时结合安全组服务,为云上虚拟网络中的云主机、负载均衡等业务环境提供灵活的、多重的安全防护。
服务链防火墙提供内网安全防护功能的东西向防火墙,可作为服务链的服务实例。
应用场景
对于设置了外部网关的云网络,应用防火墙的IPS和防病毒功能拦截入侵行为及病毒攻击。
图-1 拦截公网恶意入侵及病毒流量
对于企业级用户,使用防火墙可实现灵活控制内部重要业务与非重要业务需要隔离。
图-2 企业内业务隔离
相关概念
五元组
五元组是通信术语,通常是指源IP地址,源端口,目的IP地址,目的端口和传输层协议。防火墙可以根据报文的五元组信息对流量进行过滤。
对象组与对象
除五元组外,防火墙还可以根据对象组信息对流量进行过滤。对象组是待被过滤的一组流量对象的组合。用户可以在对象组中添加对象,一个对象组可以有多个对象,因此防火墙规则引用对象组后,可同时对多个离散的源/目的地址或端口进行限制。
对象组分为IPv4/ IPv6地址类型对象组和服务类型对象组。IPv4/ IPv6地址类型对象组内可以配置IPv4/ IPv6地址对象,用于匹配报文中的IPv4/ IPv6地址;服务对象组内可以配置服务对象,用于匹配报文中承载的上层协议。
IPS策略
IPS(Intrusion Prevention System,入侵防御系统)是一种可以对应用层攻击进行检测并防御的安全防御技术。IPS通过分析流经防火墙的网络流量来实时检测入侵行为,并通过一定的响应动作来阻断入侵行为,实现保护企业信息系统和网络免遭攻击的目的。防火墙引用IPS策略后可以实现入侵检测及防御功能。
防病毒策略
防病毒是一种通过对报文应用层信息进行检测来识别和处理病毒报文的安全机制。防病毒功能凭借庞大且不断更新的病毒特征库可有效保护网络安全,防止病毒在网络中的传播。防火墙引用防病毒策略后可以实现病毒防御功能。
与其它云服务的关系
表-1 与其它云服务的关系
|
服务名称 |
关系描述 |
|
经典网络/虚拟专有云 |
防火墙将与经典网络中的路由器或VPC绑定,为其提供安全防护。防火墙与路由器或VPC是一对一的关系。 经典网络和虚拟专有云都是系统中提供虚拟私有网络的云服务,区别在于虚拟专有云支持用户自定义路由,可以实现网络流量走向的规划,实现了一定程度上的自主定制化能力。详细描述请参考经典网络服务介绍和VPC服务介绍。 |